我们对安全问题进行详细分析使用移动设备代替专用硬件时两因素身份验证(2FA)方案中的令牌和提出TrustTokenF,一种用于移动设备的通用安全框架2FA方案,可提供可比的安全性保证专用硬件令牌,并且令牌更灵活管理。 我们首先说明如何利用Trusted 基于ARM TrustZone的执行环境(TEE)提供移动2FA应用程序的基本安全功能,即运行时隔离的执行和受信任的用户交互, 抵制甚至攻击整个手机的软件攻击者操作系统。我们还使用SRAM物理不可克隆功能(PUF) 为身份验证机密提供持久的安全存储, 同时实现了高级别的安全性和低成本。 基于这些安全功能,我们设计了一系列安全协议用于令牌部署,迁移和设备密钥更新。 我们还引入了TPM2.0基于策略的授权机制,以增强从外界到接口的接口的安全性受信任的令牌。 最后,我们在真正的启用TrustZone的硬件。 实验结果表明TrustTokenF是安全,灵活,经济和高效的移动2FA应用程序。